9th - Aug - 2016

Die von der NIST geplante Minderung der SMS für 2-Faktor Authentifizierung 2FA könnte dazu führen, dass 72 prozent der Amerikaner 2FA überhaupt nicht mehr nutzen würden.

Graphic of profiles of two people with a lightbulb above them

Ich war vor einigen Wochen auf Urlaub und bin zurückgekehrt in eine Welt, die ganz offensichtlich aufgrund des Entwurfs der NIST Richtlinien zur Digitalen Authentifizierung und dessen Minderung der SMS-Funktion für die Benutzung in der 2-Faktor Authentifizierung (2FA) in Panik geraten war. Nachdem ich zahlreiche Artikel gelesen hatte, war ich enttäuscht über diesen Medienwahn mit dessen Zirkelschluss und der fehlenden fundierten Forschungsgrundlage, die notwendig ist, um die tatsächlichen Risiken und Auswirkungen dieses Vorschlags für Unternehmen und Verbraucher darzustellen. Die Risiken, die von NIST bei der Benutzung der SMS in 2FA identifiziert wurden, werden größtenteils nicht verstanden und ich hätte mir gewünscht, dass der Fokus darauf gelegt worden wäre, zu verstehen wie man diese Risiken abschwächen kann, ohne dabei davon auszugehen, dass die SMS an einem gewissen Punkt von 2FA zur Gänze entfernt werden sollen.

Es ist interessant, dass sich sehr viel Werbung und Aufmerksamkeit auf die SMS konzentriert hat, aber viele (wenn auch nicht alle) der Schwachpunkte im Bereich der SMS-Funktion mit denen der Sprachfunktion ident sind und es daher durch die Wertminderung der SMS sehr wahrscheinlich mit der Zeit auch zu einer Abwertung der Sprachfunktion käme.

Ein Dank gebührt John Fontana für Identitätsfragen (ZDNet), Violet Blue (Engadget) und Michelle Maisto (eWeek) die zumindest etwas Ruhe in diesen Wahnsinn gebracht und etwas Klarheit in der Diskussion geschaffen haben. Ein Dank gebührt auch Paul Grassi von NIST für das Verfassen eines Blogs, in dem die Gründe für die Entscheidung zu diesem Entwurf angeführt werden der um die Nerven von vielen zu beruhigen sehr umfassend war.

In diesem Blog werde ich argumentieren, dass während SMS einige Schwachstellen hat, es die einzige band-externe Authentifizierungsart mit der Allgegenwärtigkeit und dem Nutzen ist, die die Einführung von 2FA in den letzten Jahren für alle und nicht nur für technische Nutzer so rasch antreiben hätte können. Ich glaube, dass die Ablehnung der SMS zu einer Verlangsamung der Umsetzung von 2FA quer durch alle Authentifizierungstypen mit sich bringt und es verhindert, dass das Hauptziel von NIST erreicht wird, welches darin besteht, Unternehmen zu ermutigen 2FA ständig zu verwenden. Die Vereinfachung der Verwendung und der Nutzen sind auf jeden Fall die wichtigsten Aspekte der 2-Faktor Authentifizierungsumsetzung und SMS nimmt hier aus diesem Grund den wichtigsten Platz bei der Gesamtumsetzung ein.

Wie wir bereits aus aktuellen Medienberichten wissen, sind die einfachen Email-Adressen kombiniert mit Passwortkombinationen (abgespeicherter Geheimcode) extrem schwach. Das Hinzufügen von 2FA (unabhängig von dem Authentifizierungstyp) erhöht die Sicherheit ungemein; daher ist es nicht verwunderlich, dass NIST sich die tatsächliche Umsetzung wünscht.

 In diesem Blog möchte ich versuchen, diese Diskussion auf etwas herunterzubrechen, dass besser strukturiert und erforscht ist und für den Fall, dass Sie nicht den gesamten Blog lesen möchten, hier die Schlussfolgerungen, die da lauten:

  • Der NIST Vorschlag SMS abzulehnen ist verfrüht und wird die gesamte Umsetzung der 2-Faktor Authentifizierung für Unternehmen und Benutzer im selben Ausmaß schädigen.
  • SMS nicht als eine 2FA Alternative zu zeitbasierten einmaligen Passwortanwendungen (TOTP) anzubieten, wird es extrem schwer und kostspielig für Unternehmen im Umgang mit den Benutzern machen, deren Geräte verloren gegangen sind bzw. gestohlen wurden.
  • Nur 79,1% der US-amerikanischen Teilnehmer haben derzeit ein Smartphone von denen mehr als die Hälfte nur sehr, sehr selten eine App herunterlädt. Dies bringt uns zu dem Schluss, dass mehr als 72% der Amerikaner ohne einer zukunftsfähigen 2FA Lösung nicht weiterkommen werden.
  • Die Schwächen von SS7 und SMS in Zusammenhang mit dem Versuch einen ferngeleiteten Massenangriff zu starten werden übertrieben und folglich sollten sich mobile Betreiber darauf konzentrieren, ihre Netzwerke zu sichern und NIST zu beweisen, dass diese Abfangrisiken gelöst werden konnten.

Erstens, wer ist NIST? Einige internationale Leser werden möglicherweise nicht genau wissen, wer das ist und was genau sie machen. Im Wesentlichen ist es ein Bewertungsstandardlabor und eine nicht- regulierende Agentur des Handelsministeriums der Vereinigten Staaten.“ Ein wichtiger Punkt in diesem Zusammenhang ist, dass sie Unternehmen dazu motivieren, die Standards die sie festlegen einzuhalten, sie können jedoch niemanden zwingen, diese zu befolgen. Die US-amerikanische Bundesregierung kann jedoch dazu angehalten werden, diesen Standards zu entsprechen

Zweitens sollte angemerkt werden, dass die NIST Richtlinien derzeit als ENTWURF vorliegen und jeder der möchte hier Kommentare dazu abgeben kann. Es ist wahrscheinlich, dass die endgültigen Empfehlungen erst Anfang nächstes Jahres vorliegen werden.

Ich habe ein Diagramm erstellt, um die Logik der NIST in Zusammenhang mit dem Vorschlag der SMS Ablehnung bei der 2-Faktor Authentifizierung erklären zu können.

Graphic showing an SMS 2FA dilemma with annotations

 

 

 

Zusammenfassend kann gesagt werden, dass NIST SMS bei der Verwendung der 2-Faktor Authentifizierung ablehnen möchte, weil a.) es gibt sicherere Methoden (wenn auch weniger geeignet) und b.) SMS wird vor allem wegen der Menge an kürzlich erschienenen Zeitungsartikeln, in denen über die Schwächen von SS7, die ihren Weg in die Massenmedien geschafft haben, diskutiert wurde, als weitgehend unsicher eingeschätzt.

Gibt es sicherere Methoden als SMS 2FA ohne Einbußen in Bezug auf den Nutzen? 

Es ist wichtig hervorzuheben, dass „ablehnen“ in diesem Zusammenhang nicht bedeutet zu verbieten oder nicht mehr zu erlauben, sondern viel eher andere Methoden zu empfehlen, die stattdessen verwendet werden können. Paul Grassi schreibt im NIST Blog, dass sie damit die Benutzer nur von der Verwendung von SMS abhalten möchten, weil „Sie dieses nette Ding zwar jetzt noch verwenden können, aber es schon bald out sein wird.“ 

Es gibt kein Wegleugnen, dass sicherere Methoden in der Tat existieren, vorausgesetzt, dass der Benutzer bereit ist ein TOTP oder andere App herunterzuladen und diese App so zu konfigurieren, dass diese mit einem bestimmten Dienst funktionieren. Dies wird anscheinend im Mainstream, von nicht-technischen Benutzern aus oben genannten Gründen weniger häufig gemacht. Weiters ist diese Methode, auch wenn sicherer, keine Wunderwaffe um SMS zur Gänze zu ersetzen.

Für die Zwecke dieses Blogs werde ich davon ausgehen, dass alle Smartphones zumindest von einem 4-stelligen Pin geschützt sind (oder über Fingerabdruck) und dass im Fall des Verlustes oder des Diebstahls dies sehr schnell kommuniziert wird, sodass sichergestellt ist, dass die SIM-Karte unbrauchbar gemacht wird. Die Sicherheitsimplikationen, falls dies nicht der Fall sein sollte, werden daher nicht von diesem Blog berücksichtigt.

Wenn wir davon ausgehen, dass dies wahr ist, dann ergibt sich ein grundlegendes Problem mit der TOTP Methode, wenn Sie Ihr Geräte verlieren oder ein neues erwerben, wie ich kürzlich festgestellt habe; die einzige Möglichkeit auf meine persönliche Email bei Google zuzugreifen (die die 2-Faktor Authentifizierung aktiviert hatte) war es, eine SMS zu verwenden, da ich Zugang zu meinem Konto benötigte, bevor ich meine Google Authentifizierungs-App auf meinem Gerät erneut konfigurieren konnte.

Ohne SMS wäre ich ganz einfach nicht in der Lage gewesen, auf mein Konto zuzugreifen ohne mit Google einen 3-tägigen Prozess zu durchlaufen in dem ich beweisen müsste, dass ich mein Gerät verloren habe.   Ich schließe daher daraus, dass beide als gegenseitiges Backup verwendet werden sollten und dass die SMS-Funktion eine wesentliche, wichtige Rolle in diesem Anwendungsfall spielt.

 

Wie Sie aus der Forbes / Statista (Quelle: Gallup) Studie aus dem Jahr 2015 sehen können, wechseln die meisten Benutzer ihr Telefon nach 2 Jahren, was einer Zahl von 8,3 Millionen Menschen pro Monat, auf einer kontinuierlichen Basis, entspricht, die monatlich ihr Gerät wechseln; das ist eine große Anzahl von Menschen, die entdecken wird, dass ihre TOTP App ohne SMS 2FA nicht einfach auf ein anderes Gerät übertragen werden kann. Sehen Sie im Bild unten die Optionen, um mit einem neuen Gerät bei Google einzusteigen.

Screenshot of Google's 2FA process

Wir haben in der Welt von OTP Nachrichten-Apps ähnliche gegenseitige Abhängigkeiten beobachtet, wobei Apps wie etwa Viber, Whatsapp etc. SMS und Sprachfunktionen verwenden, um die Telefonnummer von einem Gerät zu überprüfen und abzubilden. Angenommen, dass die SMS immer als Backup verwendet werden sollte, dann ist die Sicherheit des gesamten Dienstes immer nur so stark wie die SMS und in diesem Sinne würde ich die mobilen Betreiber viel eher darauf hinweisen, die Sicherheit der SMS in der 2-Faktor Authentifizierung zu erhöhen, indem Firewalls installiert werden und nicht Unternehmen ermutigen diese aufzulösen.

Es sollte hervorgehoben werden, dass im Fall von TOTP Apps, auch wenn sie sicherer sind, es jedoch immer noch Angriffspunkte gibt, wie bei jeder anderen Software. Egal welche TOTP App Sie jedoch verwenden, Sie müssen sicherstellen, dass diese vertrauenswürdig ist um sie aktualisieren zu können (ohne eine Dienstkonfiguration zu verlieren) und für eine unbegrenzte Dauer im Unternehmen einsetzbar ist. Falls es nicht gelingt dies sicherzustellen riskieren Sie, dass alle ihre Benutzer stranden und müssen diese auffordern ihre Anwender-App dann irgendwann zu ändern.

Pie chart showing the number of app downloads per month performed by smartphone users

Zuletzt, angesichts der Vielzahl an US-amerikanischen Mobiltelefonteilnehmern, die eine realistische Chance haben, eine TOTP App tatsächlich herunterzuladen, vergessen wir, dass nicht jeder auf der Welt ein Smartphone hat und folglich ist auch hier die Verwendung von SMS wiederum die beste Methode für diese Benutzer. Comscore ist der Meinung, dass die Smartphone-Durchdringung in den USA bei 70,1% liegt, und damit fast 21% der Bevölkerung übrig bleiben, die wahrscheinlich keinen mobil-basierten band-externen Authentifizierungstypen (außer SMS) benutzen.

Dies ist jedoch noch nicht die ganze Geschichte, da die Anzahl der Benutzer, die Apps auf ihr Smartphone herunterlädt extrem niedrig ist, mit einem Prozentsatz von 65,5% dieser Benutzer, die kaum jemals eine App herunterladen. Dies bedeutet, dass 72% der US-amerikanischen Bevölkerung wahrscheinlich niemals eine Alternative zu SMS 2FA herunterladen werden.

Ist SMS tatsächlich nicht-sicher?

NIST hebt zwei wesentliche Anliegen hervor, einerseits ein sehr spezifisches in Bezug auf virtuelle Zahlen (z.B. Zahlen, die nicht mit einem physischen Gerät in Verbindung gebracht werden, wie etwa VOIP oder Zahlen die mit einer App in Verbindung stehen) oder eine physische Nummer, die konfiguriert wurde, um über einen IP Dienst empfangen zu werden. Dieser beinhaltet Zahlen wie jene die über Skype zur Verfügung gestellt werden oder auch über iMessage über Ihren Desktop erreichbar sind. Die Sorge hier ist, dass auch wenn diese Dienste nicht unbedingt unsicher sind, sie nur so sicher sind wie ihr eigener Zugangssicherheitsstandard, der in den meisten Fällen einen Benutzernamen und einen abgespeicherten Geheimcode beinhaltet, die foglich der Gefahr eines ferngeleiteten Angriffs unterliegen können, der ohne eine Vorwarnung an den Besitzer der Nummer ausgelöst werden kann. Ich denke dies ist eine berechtigte Sorge, aber wir müssen hier weit ausholen, um diese Befürchtungen lösen zu können, indem wir a.) Nutzer daran erinnern diese Dienste über Zahlen, die für 2FA verwendet werden, nicht zu nutzen b.) eine MNP Suche als Teil der Zahlenvalidierung starten, um sicherzustellen, dass die Zahl keine VOIP oder virtuelle Nummer ist.

Die zweite Befürchtung bezieht sich auf die Frage, wie physische Zahlen über Schwächen in der SS7 Infrastruktur abgefangen werden können. Die Schwächen wurden in verschiedenen Studien und Zeitungsartikeln relativ gut dokumentiert, aber aus meiner Sicht wurden die Risken, die mit diesen Schwächen in Verbindung stehen, in den Medien deutlich überbewertet aufgrund des fehlenden Verständnisses des SS7 Netzwerkes und den anfänglichen Annahmen die besagten, dass „ein Zugang zu dem SS7 Netzwerk der das Netzwerk des Opfers erreichen kann einfach zu erhalten ist“.

Deren grundlegende anfängliche Annahmen gehen davon aus, dass der Angreifer über folgendes verfügt:

  • die Telefonnummer des Opfers. Dies mag in einem gezielten Angriff banal klingen, aber einen Massenangriff zu organisieren würde eine Zuordnung von Benutzernamen, Emails und Mobiltelefonnummern erforderlich machen, die nicht banal wäre.
  • Zugang zum SS7 Netzwerk. Viele der Demonstrationen suggerieren, dass die Erlangung eines Zugangs zum SS7 Netzwerk banal ist und der Angreifer Zugang zu diesem Netzwerk hat.
  • Zugang zum SS7 Netzwerk das wiederum eine Signalreichweite hat und/oder ein Roaming-Vereinbarung mit dem Heimnetzwerk des Opfers.
  • sichergestellt hat, dass das Heimnetzwerk des Opfers keinen Schutz gegen diese Art von Betrug hat und/oder dies nicht überwacht.
  • sichergestellt hat, dass das Opfer das Roaming auf seinem Konto aktiviert hat oder dieses auf irgendeine Weise vom Angreifer separat manipuliert werden kann.
  • fundiertes SS7/Sigtran Fachwissen und die Ausstattung, um den Angriff zu organisieren (erfordert wahrscheinlich 10.000 Dollar um dies anständig zu machen)
  • die Fähigkeit das Versenden einer 2-Faktor Nachricht zu koordinieren, während des Zeitfensters in dem die SIM Karte zu dem gefälschten Netzwerk „wandert“.
  • hat keine Beweise hinterlassen und kann nicht rückverfolgt werden

Damit alle 8 Punkte erfüllt werden können, würde ich behaupten, dass der Angreifer ein schlauer Mitarbeiter in einem Unternehmen mit ausreichenden Rechten sein müsste, um die Nachrichten abzufangen. Von außerhalb Zugang zu dem mobilen Betreiber der SS7 Netzwerks des Opfers zu erhalten (z.B nicht von einem anderen großen MNO Netzwerk) ist gleich wahrscheinlich wie die Möglichkeit, die Firewall des Dienstleistungsanbieters zu beeinträchtigen, den Sie versuchen anzugreifen. Einen Massenangriff auf Opfer von verschiedenen Betreibern innerhalb eines sehr kurzen Zeitfensters zu organisieren, scheint sehr unwahrscheinlich.

Interessanterweise sind Verizon und Sprint immun gegen diese Art des Roamingangriffs aufgrund der Tatsache, dass sie CDMA und nicht GSM Netzwerke sind. Wenn diese 4G LTE auslagern, kann sich dies ändern aber derzeit sind sie wahrscheinlich die sichersten in Zusammenhang mit SMS 2FA. Sie umfassen ungefähr 50% aller Teilnehmer. Eine einfache Abschwächung dieses „Roamingabfang-Risikos“ auf den anderen Netzwerken besteht darin eine HLR Suche der Telefonnummern durchzuführen, bevor ein Benutzer authentifiziert wird, um sicherzustellen, dass diese auf ihren Heimnetzwerken und nicht im Roaming sind. 

Die andere Gefahr, die oft genannt wird, wenn über die SMS Sicherheit gesprochen wird, ist die relative Einfachheit mit der jemand einen Klon von Ihrer SIM-Karte erhalten kann und/oder einen Kundenberater dazu zu bekommen die Inhalte einer SMS zu offenbaren. Während viel getan wurde in Bezug auf die Idee, dass eine Person einen Mitarbeiter in einem Laden für mobile Betreiber austricksen könnte, um so eine neue SOM für eine weitere Person auszustellen, kann dies klarerweise nicht im großen Stil gemacht werden und es besteht das hohe Risiko dabei erwischt zu werden, sowohl von der tatsächlichen Person die einen Fehler bei der Netzwerkauthentifizierung bemerkt als auch durch Aufnahmen im Laden und Videos, die den Täter identifizieren. Ähnlich, scheint die Einsichtnahme durch technisches Personal eines Betreibers, einer Sammelstelle oder einem aussendenden Unternehmen um auf SMS Nachrichten-Logs zuzugreifen und die Inhalte einer bestimmten Nachricht zu erfahren sehr unwahrscheinlich in Situationen in denen es das Ziel ist Sicherheitsmethoden wie etwa 2 FA zu vereiteln.

Letztlich ist es wahr, dass Schadprogramme eine SMS Nachricht auf einem Gerät abfangen können (vor allem auf Android), aber man könnte sagen, dass dies keine Schwäche der SMS ist, sondern eher eine Schwäche der mobilen Betriebssysteme und/oder Anti-Virus-Software.

Empfehlungen

Empfehlungen an Unternehmen

  • Verwenden Sie weiterhin SMS 2FA für die typischsten Geschäftsanwendungen. Denken Sie darüber nach, andere 2FA Methoden für die kritischsten, Hochsicherheits-Anwendungen zu benutzen. Geben Sie Benutzern in vielen Situationen die Wahl zwischen SMS und TOTP Apps und nutzen diese als gegenseitiges Backup.

Empfehlungen an Mobile Betreiber/Träger

  • Blockieren Sie alle SS7 Zugänge von Betreibern die keine Roaming-Vereinbarungen haben
  • Setzen Sie SS7 und SMS Firewalls um, um Abfangbetrug zu überwachen und entdecken
  • Analysieren Sie Gefahrenvektoren und schwächen dieses Risiken kontinuierlich ab
  • Machen Sie häufig einen Durchdringungstest um sicherzustellen, dass das SS7 Netzwerk sicher ist
  • Stellen Sie sicher, dass IR21 im Unternehmen vertraulich behandelt werden und verwenden Sie sequentielle Globale Titel für eine Kernnetzwerkinfrastruktur
  • Arbeiten Sie mit Normungsgremien, einschließlich dem NIST, um die wahrscheinlichen Risiken in Zusammenhang mit SMS 2FA besser zu beschreiben
  • Ermöglichen Sie einen legalen, gebührenpflichtigen Zugang für Anbieter für die HLR Suche (ohne kompletten IMSI) um sicherzustellen, dass Roamingabfangbetrügereien ermittelt werden können.

Empfehlungen für Verbraucher

  • Versperren Sie Ihr Telefon automatisch und fordern Sie Passcode oder Fingerabdruck an, um es wieder zu entsperren
  • Aktivieren Sie 2FA auf allen Konten entweder mit SMS oder TOTP
  • Schützen Sie das Gerät vor Schadprogrammen
  • Schalten Sie das Roaming nur ein, wenn Sie vorhaben ins Ausland zu reisen
  • Stellen Sie fest, ob eine Ihrer Email-Adressen jemals beim Besuch von https://haveibeenpwned.com gehackt wurde und verwenden Sie diese Passwörter nie mehr
  • Verwenden Siehttps://howsecureismypassword.net/ um ein starkes Passwort zu wählen und stellen Sie sicher, dass Sie verschiedene Passwörter und/oder Email-Adressen für die einzelnen Dienstleistungen verwenden. Denken Sie daran, dass ein 3 Wörter-Passwort (z.B. Fisch.Hammer.Kuchen) stärker ist als ein 8-stelliger Wortlaut bzw. eine Buchstabenfolge/Zahlenfolge und auch leichter zu merken ist.

Da ich meine persönlichen Myspace, Linkedin, Adobe und Tumblr Email und Passwörter selbst bereits im öffentlichen Netz wiedergefunden habe, verwundert es mich nicht, wie oft diese Art von einfacher Authentifizierung gehackt wird und warum ein Angriff zu zahlreichen weiteren Angriffen führen kann. Verwenden Sie ein starkes Passwort und stellen Sie sicher, dass Sie unterschiedliche Passwörter und/oder Email-Adressen für die einzelnen Dienstleistungen verwenden.

Zusammenfassung

Die Leichtigkeit, der Nutzen und die Allgegenwärtigkeit der SMS in 2FA ist unsere einzige kollektive Chance, um 2FA für eine breite Öffentlichkeit jederzeit schnell einführen zu können. Es bietet einen Optimalpunkt zwischen einfachem Benutzernamen und Passwörtern (die nicht sicher sind) und die fortschrittlicheren, sicheren TOTP Lösungen die heutzutage existieren.

Die Unternehmen sollten weiterhin SMS für 2FA für die meisten Arten von Dienstleistungen nutzen, da dies eindeutig sicherer ist als 2FA überhaupt nicht zu benutzen. Für all jene Unternehmen und Verbraucher, die zusätzliche Vorsichtsmaßnahmen treffen wollen, bietet dieser Blog eine Reihe von Entschärfungen, einschließlich MNP/HLR Suchen vor jeder Authentifizierung.

Es wird der mobilen Betreibergemeinschaft wärmstens empfohlen sich zu bemühen, um die Risiken des Roamingabfangbetrugs zu reduzieren oder wenigstens in den Medien zu kommunizieren, wie gut sie diese Risiken verstehen und wie sie diese bereits entschärfen konnten.

Das weitaus wichtigste Ergebnis ist es, jedem Unternehmen nahezulegen 2FA auf die eine oder andere Weise einzuführen und dann alle Verbraucher dazu zu ermutigen dieses zu benutzen. SMS wird bei der Umsetzung helfen, weil a.) mehr als 72% der Amerikaner entweder kein Smartphone haben oder wahrscheinlich 2FA App nicht herunterladen und konfigurieren werden und b.) der Wechsel von Geräten ohne SMS auf 2FA aktivierten Dienstleistungen zeitaufwendig und frustrierend für Unternehmen und auch Benutzer sein kann.

Es sollte daran gedacht werden, dass es bei Sicherheit nicht nur um Technologie geht, sondern vielmehr auch um die Unternehmenspolitik und die Prozesse. Meiner Meinung nach sind Schwachpunkte in diesem Bereich ein viel größeres Risiko als die Schwächen von SMS bei 2FA.

Unsere allgemeine Empfehlung an NIST ist es, SMS NICHT abzulehnen, sondern weiterhin dazu zu raten, SMS für viele/die meisten 2FA Anwendungen benutzen zu können und Wege vorzuschlagen, um die Sicherheit wenn nötig zu erhöhen, so wie es in diesem Blog beschrieben wird. Für Dienstleistungen, die ein sehr hohes Risiko tragen oder in Situationen in denen große Verluste drohen, stimmen wir zu, dass TOTP oder ein Äquivalent eine bessere Lösung bietet, vorausgesetzt, dass die Benutzer fähig sind es einzusetzen.

Verfasser: Rob Malcolm (Mblox/ CLX)

Signup for Blog Updates